Safari 自動入力のセキュリティ問題により個人情報へのアクセスが許可される

今週初め、 The Register は 、悪意のある Web サイトがアドレス帳のエントリからユーザーの個人情報を抽出できる可能性がある、Apple の Safari 自動入力機能で見つかったセキュリティの脆弱性について詳しく報じました 。 WhiteHat Security のセキュリティ研究者である Jeremiah Grossman 氏は、昨日の ブログ投稿 でこのエクスプロイトの詳細を説明し、ユーザーが脆弱かどうかを確認できる 概念実証 Web ページを提供しました。

この脆弱性は、アドレスブックがユーザーの個人情報を保存するために単純なフォームのテキストフィールドを使用することと、ユーザーが Web フォームに記入するのを支援する自動入力機能を通じてその情報を自動的に取得する Safari の機能とが組み合わされて発生します。

悪意のある Web サイトが Safari からアドレス帳カード データを密かに抽出するために必要なのは、前述の名前を持つフォーム テキスト フィールドを (おそらくは目に見えないように) 動的に作成し、JavaScript を使用して AZ キーストローク イベントをシミュレートすることだけです。データが入力されると、つまり AutoFill されると、そのデータにアクセスして攻撃者に送信することができます。

何らかの理由で、電話番号や住所などの数字で始まるフィールドはこの脆弱性の影響を受けません。ただし、通常は、ユーザーの名前、所属会社、都市/州/国、および電子メール アドレスにアクセスできます。

それでも、このような攻撃は、ルートキット ペイロードを配信するように設計されたエクスプロイト コードではないため、広告ネットワークを使用して簡単かつ安価に大規模に配布される可能性がありますが、おそらく誰も気付かないでしょう。実際、これがまだ起こっていないという保証はありません。確実に言えるのは、この脆弱性は非常に単純なので、誰かがすでに公的に報告しているに違いないと思っていましたが、徹底的に検索し、数人の同僚に尋ねても何も見つかりませんでした。

Grossman 氏は、6 月 17 日にこの脆弱性に関する情報を Apple に提出したが、追跡調査を試みたにもかかわらず、提出内容が自動的に承認されただけだったと報告しています。そのため、Grossman 氏は、ユーザーがデフォルトで有効になっている自動入力機能を無効にして身を守る措置を講じられるように、この脆弱性を公開しています。

最新情報 : All Things Digital によると、Apple はこの問題を 認め 、修正に取り組んでいることを約束しましたが、リリースの時期は明らかにされていません。